aA
Bet kuri įmonė, įsteigta Europos Sąjungos teritorijoje ar įsteigta už jos už jos ribų, bet tvarkanti Europos Sąjungos piliečių duomenis, yra Bendrojo duomenų apsaugos reglamento (BDAR) numatytų baudų taikinyje, todėl nieko keisto, jog tokių įmonių vertė rinkoje gali ženkliai sumažėti būtent dėl netinkamo BDAR nuostatų įgyvendinimo.
Indrė Tamošiūnaitė
Indrė Tamošiūnaitė
© Asmeninio albumo nuotr.

Tai reiškia, kad tiek įmonės pirkėjas, tiek pardavėjas prieš įmonės pirkimo-pardavimo sandorį privalo detaliai apsvarstyti visas su asmens duomenų tvarkymu susijusias rizikas, galinčias iš esmės nulemti planuojamo sandorio sėkmę ar išvengti nuostolių ateityje.

Nukenčia net didžiosios kompanijos

Vienas plačiausiai nuskambėjusių atvejų, kuomet netinkamas asmens duomenų tvarkymas nemenkai pakišo koją sandorio baigčiai, įvyko 2017 m. JAV telekomunikacijų milžinei „Verizon“ įsigyjant interneto bendrovę „Yahoo“ ir ją sujungiant su AOL padaliniu. Dar iki sandorio pradžios „Yahoo“ patyrė tris duomenų apsaugos pažeidimų bangas: vieną 2016 metų rugsėjį bei dar dvi tų pačių metų gruodį.

Būtent pastarųjų asmens duomenų pažeidimų banga išaiškėjo pačiame derybų dėl „Yahoo“ įsigijimo įkarštyje, tad kompanijoms vėl teko leistis į diskusijas, tirti įvykusių incidentų aplinkybes, vertinti padarytą žalą bei atitinkamai sumažinti sandorio kainą. Po derybų buvo nuspręsta, kad atsakomybę už galimai nutekėjusią vartotojų privačią informaciją lygiomis dalimis prisiims abi kompanijos, o pati sandorio vertė sumažinta net 350 mln. USD. Taigi, tokia netikėta sandorio baigtis pakenkė ne tik interneto sprendimų veteranei „Yahoo“, kuriai teko nusileisti ir padaryti „Verizon“ įspūdingo dydžio nuolaidą, bet ir pačiai „Verizon“, sutikusiai prisiimti gana didelę finansinę riziką tiek dėl jau paaiškėjusių, tiek dėl ateityje galinčių paaiškėti asmens duomenų pažeidimų atvejų.

Šis pavyzdys tik patvirtina, jog verslo subjektams, planuojantiems sudaryti bendrovės pirkimo-pardavimo sandorį, visų pirma, reikia detaliai įsigilinti į visus su asmens duomenų tvarkymų bendrovėje susijusius procesus bei įvertinti jų atitiktį BDAR. Tik tai gali užtikrinti sandorio sėkmę bei apsaugoti nuo milžiniškų BDAR numatytų baudų.

Teisinis įmonės patikrinimas – į ką būtina atkreipti dėmesį?

Praktikoje jau įprasta, jog šalims rodant rimtą abipusį susidomėjimą ir interesą sudaryti bendrovės pirkimo-pardavimo sandorį, pardavėjas atskleidžia visą su tokiu sandoriu susijusią informaciją pirkėjui tam, kad abi šalys tinkamai įvertintų sandorio priimtinumą viena kitai, susipažintų su faktine įmonės situacija ir galutinai apsispręstų dėl sandorio sudarymo bei jo vertės. Būtent toks bendrovės dokumentų ir su ja susijusios informacijos patikrinimas po BDAR įsigaliojimo neabejotinai tapo vienu svarbiausių faktorių, padedančiu nustatyti ar joje laikomasi asmens duomenų apsaugą reglamentuojančių teisės aktų nuostatų.

Žinoma, visų pirma, dar prieš asmens duomenų perdavimą pirkėjui pardavėjas privalo įvertinti, ar tikrai gali perduoti tokius duomenis, t. y. ar tokiam perdavimui egzistuoja teisinis pagrindas. Dažniausiai toks pagrindas galėtų būti teisėtas pardavėjo interesas, tačiau svarbu nepamiršti įvertinti, ar tikrai visų asmens duomenų perdavimas yra būtinas ir ar toks perdavimas nepažeidžia asmenų, kurių duomenys bus perduodami (pavyzdžiui, darbuotojų), laisvių ir teisių. Jei tik įmanoma, asmens duomenys turėtų būti anonimizuojami ar šifruojami, pavyzdžiui, perduodant darbo sutarties formos pavyzdį jame neturėtų matytis jokių konkretaus darbuotojo asmens duomenų.

Prieš asmens duomenų perdavimą pirkėjui pardavėjas privalo įvertinti, ar tikrai gali perduoti tokius duomenis, t. y. ar tokiam perdavimui egzistuoja teisinis pagrindas.
Indrė Tamošiūnaitė

Antra, tiek pardavėjas, atskleisdamas asmens duomenis, tiek pirkėjas juos gaudamas turi pasirūpinti, jog toks duomenų judėjimas atitiktų visus BDAR keliamus reikalavimus. Atsižvelgiant į tai, siekiant atlikti įmonės patikrinimą, tarp pirkėjo ir pardavėjo turėtų būti sudaromas konfidencialumo susitarimas. Susitarime turėtų būti griežtai nustatyti ne tik šalių konfidencialumo įsipareigojimai, bet ir tokie aspektai kaip perduodamų asmens duomenų apimtis, taikomos saugumo priemonės, gautų duomenų naikinimo tvarka bei atsakomybės ribos.

Trečia, teisinio patikrinimo rezultatai turėtų atsakyti bent į šiuos klausimus: a) kaip, kokiu pagrindu bei kokia apimtimi tvarkomi asmens duomenys bendrovėje; b) ar yra įdiegtos tinkamos duomenų apsaugos priemonės, priimtos duomenų tvarkymo politikos (įskaitant duomenų apsaugos pažeidimų nustatymo) bei fiksuojami duomenų tvarkymo veiklos įrašai; c) ar bendrovėje paskirtas duomenų apsaugos pareigūnas ar kitas už duomenų apsaugą atsakingas asmuo; d) kam perduodami asmens duomenys bei ar sudaryti susitarimai su visais duomenų gavėjais (duomenų tvarkytojais, duomenų valdytojais); e) ar bendrovėje yra buvę asmens duomenų apsaugos pažeidimų.

Visi šie aspektai gali turėti milžinišką įtaką ne tik vertinant galimų asmens duomenų apsaugos pažeidimų riziką, bet ir nustatant papildomų pirkėjo išlaidų ar kitokių nuostolių sumas, galinčias nulemti sandorio vertės sumažėjimą. Pavyzdžiui, galbūt pirkėjui bus aktualus naujienlaiškių siuntimas savo klientams, tačiau to jis daryti negalės, nes pardavėjui tai nebuvo aktualu ir bendrovė apie tai nėra informavusi savo klientų ar, atitinkamai, gavusi jų sutikimų.

Galiausiai, svarbu suvokti, jog net ir atlikus išsamų perkamos bendrovės teisinį patikrinimą, nėra garantijų, jog pirkėjui taps žinoma visa reali įmonės situacija. Tokie patikrinimai dažniausiai atliekami vadovaujantis pardavėjo pateikta informacija, todėl tikėtina, jog svarbi ir įtaką galinti padaryti informacija patikrinimo metu nebus pateikta ir galimai išaiškės tik vėliau. Atsižvelgiant į tai, nereiktų pamiršti ir kitų šaltinių, leidžiančių spręsti dėl įmonės atitikties BDAR.

Šiais laikais sunku įsivaizduoti net mažiausią įmonę, kuri nebūtų perkėlusi savo veiklos į interneto svetainę, suteikiančią galimybę pasiekti daugiau klientų, vykdyti užsakymus, o kartu ir rinkti pačius įvairiausius asmens duomenis. Taigi, vienas lengviausių ir mažiausiai finansinių išteklių kainuojantis būdas patikrinti, ar bendrovė laikosi BDAR numatytų reikalavimų – peržiūrėti jos interneto svetainę: ar joje patalpinta privatumo politika, taisyklės ar kitas tokio informacinio pobūdžio dokumentas, koks yra jo turinys; ar naudojamos užklausos, naujienlaiškų prenumeratos formos; ar naudojami slapukai ir panašiai.

Po BDAR įsigaliojimo nei bendrovių pirkėjai, nei pardavėjai neskuba prisiimti visiškos atsakomybės už asmens duomenų apsaugos pažeidimus.
Indrė Tamošiūnaitė

Ką svarbu aptarti pirkimo-pardavimo sutartyje?

Bene dažniausiai praktikoje pasitaikantis klausimas – kas turi atsakyti už duomenų apsaugos pažeidimą, išaiškėjusį, pavyzdžiui, jau po bendrovės įsigijimo, tačiau įvykusį dar bendrovę valdant pardavėjui? Jau minėtu bendrovės „Yahoo“ įsigijimo atveju, „Verizon“ pasisekė, jog duomenų apsaugos pažeidimai paaiškėjo dar prieš pirkimo–pardavimo sutarties sudarymą, todėl ji turėjo galimybę derėtis dėl esminių sandorio sąlygų. Būtent tinkamų nuostatų įtraukimas į pirkimo–pardavimo sutartį jai leido minimalizuoti savo finansinę atsakomybę dėl visų galimų klientų teisių pažeidimų (už bet kokį ateityje paaiškėjusį asmens duomenų saugumo incidentą, įvykusį dar iki „Yahoo“ pirkimo-pardavimo sutarties pasirašymo dienos, atsakomybę dalinsis abi įmonės).

Po BDAR įsigaliojimo nei bendrovių pirkėjai, nei pardavėjai neskuba prisiimti visiškos atsakomybės už asmens duomenų apsaugos pažeidimus, įvykusius ar paaiškėjusius ne jiems valdant įmonę, o tikslus atsakomybės paskirstymo ir nuostolių atlyginimo klausimas dažnai reikalauja ne tik laiko, bet ir papildomų finansinių išteklių, todėl šalys linkusios sutartyse to neaptarti. Dažniausiai dėl tokio neapdairumo nukenčia pirkėjas, nes jau kitą dieną po bendrovės įsigijimo būtent jis kaip naujasis duomenų valdytojas gali sulaukti skundų dėl netinkamo asmens duomenų tvarkymo ar net baudos.

Taigi, siekiant maksimaliai apsaugoti savo verslą, bendrovės pirkimo-pardavimo sutartyje turėtų būti aptarta bent: iki sutarties pasirašymo momento bendrovėje įvykę duomenų apsaugos pažeidimai, jų tyrimų tvarka, nukentėję asmenys, nuostolių kompensavimo procesai, konkretūs atsakomybės taikymo terminai ir baudos šalims bei tolesnė BDAR nustatyti reikalavimų įgyvendinimo tvarka. Atsakomybės ribos turėtų būti apibrėžiamos atsižvelgiant į gautus bendrovės patikrinimo rezultatus. Taigi kuo detaliau buvo įvertinta bendrovės atitiktis duomenų apsaugą reglamentuojančių teisės aktų reikalavimams, tuo lengviau įvertinti visas galimas duomenų pažeidimų rizikas ir atitinkamai paskirstyti šalių atsakomybę.

Galiausiai, atkreiptinas dėmesys ir į tai, jog tinkamas ir baudų bei nuostolių rizikas sumažinantis bendrovės įsigijimas nesibaigia sutarties pasirašymu. Nuo pat įmonės įsigijimo momento būtent pirkėjas tampa atsakingas dėl bendrovės atitikties BDAR, todėl ypatingai svarbu detaliai apsvarstyti ir pasirengti bendrovės integracijos procesui duomenų apsaugos kontekste. Pažymėtina, kad pirkėjas privalės laikytis visų, iki pardavimo momento bendrovėje pardavėjo nustatytų, asmens duomenų tvarkymo procedūrų ir tvarkų, o jei tokių nėra – privalės jas nustatyti.

www.DELFI.lt
Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(3 žmonės įvertino)
5.0000

Karolis Bielskis. Gyventojų vartojimo įpročiai ir finansinės būklės vertinimas atskleidžia galimybių netolygumus

Pastaruosius kelerius metus sparčiai augęs vidutinis darbo užmokestis gerino ir vartotojų...

Dalia Augaitė. Dar viena galimybė mažoms ir vidutinėms įmonėms – kodėl dabar ypač paranku žengti į kapitalo rinką?

Praėjusią savaitę Ekonomikos ir inovacijų ministerijos uždegta žalia šviesa priemonei...

Jurgita Navikienė. Komandiruotės užsienyje: sutaupyti mokesčiai ar galvos skausmas? (1)

Mūsų šaliai įstojus į Europos Sąjungą ir prasidėjus laisvam darbo jėgos judėjimui, vis...

Darius Imbrasas. Lietuvos ekonomikos plėtra tęsiasi

Lietuvos ekonomika nenustoja augti. Švelninamais karantino ribojimais pagrindinėse Lietuvos...

Indrė Genytė-Pikčienė. BVP šuolis – ne tik žemos palyginamosios bazės pasekmė

Statistikos departamento duomenimis, per trečiąjį ketvirtį Lietuvos BVP išaugo 0,4 proc., o...

Top naujienos

Valdančiosios daugumos atstovas: kai kurie mūsų ministrai nepajėgūs adekvačiai vertinti situacijos, laikas su jais atsisveikinti  nuskambėjo kritikos ir Nausėdai  (730)

Toliau vykstant migrantų krizei, Tėvynės sąjungos-Lietuvos krikščionių demokratų ( TS-LKD )...

Dailius Dargis | D+

Anglijoje nuo policijos besislapstantis komisaro sūnus praskleidė gangsterių pasaulio širmą: lietuviai yra patys baisiausi mafijozai

Nuo teisėsaugos persekiojimo iš Lietuvos išvykęs ir Jungtinėje Karalystėje įsitvirtinęs...

Dėl naujos sutarties nesusitaręs Messi palieka „Barcelona“ (44)

„ Barcelona “ klubą sudrebino didžiausia permaina šiame amžiuje. Katalonų futbolo ekipos...

Orai: ciklonas į Lietuvą atneš stiprų vėją ir lietų, tačiau sekmadienį laukia malonūs pokyčiai (1)

Vėsaus oro, plūstančio iš šiaurės Atlanto į Vakarų bei Vidurio Europą, ir šiltos...

Minsko oro uostas: atšauktas dar vienas reisas iš Irako į Baltarusiją (220)

Irako oro bendrovės „Fly Baghdad“ skrydis iš Bagdado į Minską, turėjęs įvykti penktadienį,...

Europos miestas, kuriame kiekvienas rytas tarsi šventė: turėdami tokius paplūdimius ir lietuviai daugiau šypsotųsi (15)

Ko jau ko iš Valensijos gyventojų galėtų pasimokyti lietuviai – tai meilės gyvenimui. Atrodo,...

„Žalgiris“ be nuostolių perkėlė Europos lygos mūšio lauką iš Slovėnijos į Vilnių (23)

Vilniaus „Žalgiris“ iš Slovėnijos parsiveža nulines lygiąsias. Ketvirtadienį pirmoji...

Tendencijų viršūnėje – švarkai, tačiau kokį rinktis, kad neprašautumėte? (15)

Kokia vasara be koketiškai ir nekaltai apnuogintos odos? Greičiausiai – nuobodi ir tokia, kokios...

Sensacija prie šachmatų lentos: pasaulio taurę iškovojęs lenkas įveikė ir Carlseną, ir Kariakiną (2)

Lenkijos didmeistris Janas-Krzysztofas Duda Sočyje (Rusija) iškovojo pasaulio šachmatų taurę,...